Gli attori della minaccia dietro il Medusa L’operazione Ransomware-as-a-Service (RAAS) è stata osservata usando un driver dannoso soprannominato Abissworker Come parte di un driver vulnerabile (porta il tuo driver vulnerabileByovd) Attacco progettato per disabilitare gli strumenti anti-malware.
Elastic Safety Labs ha dichiarato di aver osservato un attacco ransomware Medusa che ha consegnato il crittografico per mezzo di un caricatore confezionato usando un packer-as-a-service (PAAS) chiamato HeartCrypt.
“Questo caricatore è stato distribuito insieme a un driver revocato firmato certificato da un venditore cinese che abbiamo nominato Abyssworker, che installa sulla macchina da vittima e quindi utilizza per concentrating on e silenzio diversi fornitori di EDR”, la società disse in un rapporto.
Il pilota in questione, “Smuol.sys”, imita un legittimo pilota di folle di crowdstrike (“csagent.sys”). Dozzine di artefatti Abissworker sono stati rilevati sulla piattaforma viustotale risalente all’8 agosto 2024 al 25 febbraio 2025. Tutti i campioni identificati sono firmati utilizzando probabili certificati rubati e revocati da società cinesi.
Il fatto che il malware sia anche firmato gli conferisce un’impiallacciatura di fiducia e gli consente di bypassare i sistemi di sicurezza senza attirare alcuna attenzione. Vale la pena notare che il driver di rilevamento e risposta EDR) endpoint period precedentemente documentato di Connectwise nel gennaio 2025 con il nome “Nbwdv.sys”.
Una volta inizializzato e lanciato, Abysssworker è progettato per aggiungere l’ID di processo a un elenco di processi protetti globali e ascoltare le richieste di controllo I/O del dispositivo in arrivo, che vengono quindi inviate a gestori appropriati in base al codice di controllo I/O.
“Questi gestori coprono una vasta gamma di operazioni, dalla manipolazione dei file a elaborazione e terminazione del driver, fornendo un set di strumenti completo che può essere utilizzato per terminare o disabilitare permanentemente i sistemi EDR”, ha affermato Elastic.
L’elenco di alcuni dei codici di controllo I/O è sotto –
- 0x222080-Abilita il driver inviando una password “7n6bcaoecbitsur5-h4rp2nkqxybfkb0f-wgbjgh20pwuun1-zxfxdiyps6htp0x”
- 0x2220c0 – Carica API del kernel necessario
- 0x222184 – Copia file
- 0x222180 – Elimina file
- 0x222408 – Uccidi i thread del sistema per nome del modulo
- 0x222400 – Rimuovere i callback di notifica per nome del modulo
- 0x2220c0 – API di carico
- 0x222144 – Termina il processo dal loro ID processo
- 0x222140 – Termina thread dal loro ID thread
- 0x222084 – Disabilita malware
- 0x222664 – Riavvia la macchina
Di particolare interesse è 0x222400, che può essere utilizzato per accecare i prodotti di sicurezza cercando e rimuovendo tutti i callback di notifica registrati, un approccio adottato anche da altri strumenti di uccisione EDR come EDRSANDBLAST E Realblindingedr.
I risultati seguono un rapporto di Venak Safety su come gli attori delle minacce stanno sfruttando un driver di kernel legittimo ma vulnerabile associato al software program antivirus Zonealarm di Management Level come parte di un attacco BYOVD progettato per ottenere privilegi elevati e disabilitare le caratteristiche di sicurezza di Home windows come l’integrità della memoria.
L’accesso privilegiato è stato quindi abusato dagli attori delle minacce per stabilire una connessione RDP (RDP) a remoto protocollo desktop con i sistemi infetti, facilitando l’accesso persistente. Da allora la scappatoia è stata collegata dal punto di controllo.
“Mentre Vsdatant.sys opera con privilegi di kernel di alto livello, gli aggressori sono stati in grado di sfruttare le sue vulnerabilità, aggirare le protezioni di sicurezza e il software program antivirus e ottenere il pieno controllo delle macchine infette”, l’azienda disse.
“Una volta che queste difese sono state bypassate, gli aggressori avevano pieno accesso al sistema sottostante, gli aggressori sono stati in grado di accedere a informazioni sensibili come password utente e altre credenziali memorizzate. Questi dati sono stati quindi esfiltrati, aprendo la porta per ulteriori sfruttamenti.”
Examine Level Software program ha detto a Hacker Information che il driver suscettibile è obsoleto e che non è più in uso attivo, richiedendo che i clienti stanno eseguendo l’ultima versione del software program.
“Il pilota vulnerabile a cui si fa riferimento a Venak Safety (Vsdatant.sys, versione 14.1.32.0) è obsoleto e non più in uso nelle versioni attuali dei nostri prodotti”, ha affermato la società. “Gli utenti che eseguono le ultime versioni di Zonealarm o Concord Endpoint non sono interessati, poiché includono driver aggiornati che affrontano questo problema.”
“Dopo una revisione approfondita, possiamo confermare che le versioni rilasciate negli ultimi 8 anni non sono vulnerabili a questo problema. Per la protezione completa, consigliamo agli utenti di assicurarsi che stiano eseguendo la versione più recente di Examine Level Zonealarm o Examine Level Concord Endpoint, che embrace salvaguardie migliorate contro attacchi in stile BYOVD.”
Lo sviluppo arriva come il Ransomhub (AKA Greenbottle e Cyclops) L’operazione di ransomware è stata attribuita all’uso di un traditore in codice multifunzione precedentemente privo di documenti da almeno uno dei suoi affiliati.
L’impianto viene fornito con funzionalità tipicamente affiliate al malware distribuito come precursore di ransomware, come screenshotting, keylogging, scansione di rete, escalation dei privilegi, dumping credenziale ed esfiltrazione di dati su un server remoto.
“La funzionalità del traditore indica che potrebbe essere stata sviluppata al tremendous di ridurre al minimo il numero di nuovi strumenti eliminati su una rete mirata mentre si sta preparando un attacco di ransomware”, Symantec di proprietà di Broadcom dissedescrivendolo come una sorta di allontanamento da altri strumenti personalizzati sviluppati dai gruppi ransomware per l’esfiltrazione di dati.
“L’uso di malware personalizzato diverso dalla crittografia è relativamente insolito negli attacchi ransomware. La maggior parte degli aggressori si basa su strumenti legittimi, che vivono fuori dal terreno e malware disponibili al pubblico come Mimikatz e Cobalt Strike.”
(La storia è stata aggiornata dopo la pubblicazione per includere una risposta dal software program di controllo.)
